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(57) Abstract: The invention concerns 
a list signature method comprising: an 
organization phase whereby reliable 
authority defines parameters for 
implementing an anonymous electronic 
signature; a phase which consists in 
registering persons on a list of authorized 
members to generate a list signature, 
during which each person calculates a 
private key, and the reliable authority 
delivers to each person a certificate for 
membership of the list; a phase which 
consists in defining a serial number; 
a phase wherein a member of the list 
generates by means of certificate a 
signature containing an element common 
to all the signatures issued by one single 
member with one single serial number; 
a phase which consists in verifying 
whether the signature has been generated 
by a member of the list and whether the 
serial number has been used to generate 
the signature. 

(57) Abrege : Le proc£de de signature 
de liste comprend une phase 

d* organisation consistant pour une 
autorite de confiance a d£finir des 
parametres de mise en oeuvre d'une 
signature electronique anonyme ; une 
phase d'enregistrement de personnes 
dans une liste de membres autorises a 
generer une signature de liste, durant 
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— avant V expiration du delai prevu pour la modification des 
revendicationSy sera republiee si des modifications sont re- 
gues 

En ce qui conceme les codes a deux lettres et autres abrevia- 
tions, se referer aux "Notes explicatives relatives aux codes et 
abreviations" figurant au debut de chaque numero ordinaire de 
la Gazette du PCT. 



chaque personne calcule une cle privee, et 1'autorite de confiance delivre a chaque personne un certificat de membre de la liste ; une 
phase de definition d'un numero de sequence ; une phase de generation par un membre de la liste a Taide de son certificat d'une 
signature con tenant un element commun a toutes les signatures emises par un meme membre avec un meme numero de sequence ; 
une phase de verification de signature consistant a verifier que la signature a ete generee par un membre de la liste et que le numero 
de sequence a ete utilise pour generer la signature. 
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PROCEDE DE SIGNA TURE PR TJSTE ET APPLI CATION ATT VOTP 
ELECTRONIOUE. 

5 La presente invention concerne le domaine general de la securite des services 
accessible par un r6seau de transmission de donnees numeriques, et plus 
precis^ment le domaine de la signature electronique. 

Elle s'applique notamment, mais non exclusivement au vote electronique ou 
1 0 encore a la petition electronique. 

La signature electronique d'un message met en oeuvre un m6canisme relevant 
de la cryptographie dite a cle publique : le signataire qui possede une cle secrete 
ou privee et une cle publique associee, peut produire une signature de message a 
15 l'aide de la cl6 secrete. Pour verifier la signature, il suffit de disposer de la cle 
publique. 



Dans certaines applications comme le vote electronique, le signataire doit 
pouvoir rester anonyme. A cet effet, on a mis au point ce que l'on appelle la 

20 signature electronique anonyme permettant a l'aide d'une cle" publique de 
determiner si le signataire d'un message possede certains droits (droit de signer 
le message, droit de posseder la cle secrete ayant ete utilisee pour signer le 
message, etc.), tout en preservant l'anonymat du signataire. En outre, dans les 
applications de vote ou de petition electronique, chaque personne autorisee ne 

25 doit pouvoir signer qu'une seule fois. 

Parmi les signatures anonymes, il existe egalement ce que l'on appelle la 
signature aveugle permettant a une personne d'obtenir la signature d'un 
message d'une autre entite, sans que celle-ci ait a connaitre le contenu du 

30 message et puisse etablir plus tard le lien entre la signature et l'identite du 
signataire. Cette solution de signature aveugle necessite done l'intervention 
d'une entite intermediate qui produit les signatures. Dans les applications 
comme le vote ou la petition electronique, cette solution fait intervenir une 
autorite habilitee qui signe le vote de chaque electeur ou la petition pour chaque 

35 petitionnaire. 

On a egalement propose le concept de signature de groupe qui permet a chaque 
membre d'un groupe de produire une signature telle qu'un verificateur 
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poss£dant une cl6 publique adequate peut verifier que la signature a 6t6 emise 
par un membre du groupe sans pouvoir dStenniner l'identite du signataire. 
Ce concept est par exemple decrit dans le document : 

[1] "A Practical and Provably Secure Coalition-Resistant Group Signature 
5 Scheme" de G. Ateniese, J Camenisch, M. Joye et G. Tsudik, in M. Bellare, 
Editor, Advance in Cryptology - CRYPTO 2000, vol. 1880 of LNCS, p. 255- 
270, Springer-Verlag 2000. 

Cependant, dans ce concept, une autorite de confiance peut lever a tout moment 
cet anonymat et determiner l'identite d'une personne du groupe ayant emis une 

10 signature. En outre, ce type de signature est dit "non reliable", c'est-a-dire qu'il 
ne penriet pas de detemiiner si oui ou non deux signatures ont ete emises par la 
m6me personne sans lever 1' anonymat de la signature. Les signatures de groupe 
sont utilisees dans de nombreuses applications, telles que la vente aux encheres 
electronique, la monnaie electronique ou encore le vote electronique. La 

15 signature de groupe ne convient pas parfaitement a cette derniere application 
puisqu'elle autorise une autorite de confiance a acc6der a l'identite d'un 
signataire, et ne permet pas de relier deux signatures emises par une meme 
personne sans determiner l'identite du signataire. En outre, le document [1] ne 
prevoit pas de processus de revocation d'un membre du groupe. 

20 

Pour remedier a ce dernier inconvenient, le document [2] "Efficient Revocation 
of Anonymous Group membership Certificates and Anonymous Credentials" de 
J. Camenisch et A. Lysysanskaya, public par Cryptologie ePrint Archive IACR. 
2002, prevoit d'ajouter a ce concept un processus de revocation (ce document 
25 sera aussi public par M. Jung, Editor CRYPTO 2002, Springer-Verlag 2002). 
Toutefois, cette solution n'apporte pas de solution aux problemes de la 
preservation de l'anonymat du signataire et de "reliability" de deux signatures. 

Dans une application de vote electronique, il est en outre necessaire pour 
30 assurer une securite se rapprochant au maximum du vote traditionnel, de 
garantir les propri6tes suivantes. 

Nul ne doit 6tre capable de connaitre meme partiellement les r6sultats du scrutin 
avant sa cloture. Tout le monde doit pouvoir se convaincre de la validite du 
resultat final du scrutin. Enfin, une autorite habilitee doit etre capable de retirer 
35 ou de revoquer le droit de vote d'une personne. 

Qu'il s'agisse du vote hors ligne, c'est-a-dire de l'utilisation d'une machine a 
voter 61ectronique installee dans un bureau de vote, ou du vote en ligne, c'est-a- 
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dire a distance, via le reseau Internet par exemple, les systemes proposes 
actuellement, utilisant une signature de groupe telle que decrite dans le 
document [1] et completee dans le document [2], ne remplissent pas ces 
conditions, mis a part la revocation du droit de signature. 

5 

Par ailleurs, 1' application du concept de signature aveugle au vote electronique 
est une solution dont la mise en ceuvre est lourde, car elle oblige l'electeur a se 
connecter plusieurs fois a chaque election. En outre, si le scrutin se passe mal, 
on ne peut pas d&erminer qui en est le responsable : un electeur ou 
1 0 1' organisateur du scrutin. 



On a egalement propose, notamment dans le document [3] "Untraceable 
Electronic Mail Return Addresses and Digital Pseudonym" de D. Chaum, ACM 
1981, le concept de reseaux melangeurs, chaque melangeur etant une fonction 

15 produisant une liste de nombres dechiffres a partir d'une liste de nombres 
chiffres, tout en cachant la correspondance entre les nombres chiffres et les 
nombres dechiffres. Appliquee au vote electronique, cette technique presente 
l'inconvenient majeur de ne pas permettre de verifier la validity d'un vote sans 
compromettre le secret de celui-ci. 

20 Dans le document [4] "A Secure and Optimal Efficient Multi-Authority 
Election Scheme", de Cramer, Gennaro, et Schoenmakers, Eurocrypt'97, LNCS 

- Springer-Verlag, il est decrit ce que Ton appelle le chiffrement homomorphe 
permettant d'effectuer des calculs de base sur des nombres chiffres. Les 
solutions basees sur ce proc6de ne sont cependant pas applicables aux scrutins 

25 impliquant un grand nombre d'electeurs. 

La pr6sente invention a pour but de supprimer cet inconvenient. Cet objectif est 
atteint par la prevision d'un precede de signature de liste comprenant au moins : 

30 - une phase d' organisation consistant pour une autorite de confiance a d^finir 
des parametres de mise en ceuvre d'une signature electronique anonyme, 
dont une cle privee et une cU publique correspondante, 

- une phase d'enregistrement de personnes dans une liste de membres autorises 
a generer une signature electronique propre aux membres de la liste, au cours 

35 de laquelle chaque personne a enregistrer calcule une cl^ priv6e a l'aide de 
parametres fournis par l'autorite de confiance et de parametres choisis 
aleatoirement par la personne a enregistrer, et l'autorite de confiance delivre 
a chaque personne a enregistrer un certificat de membre de la liste, 
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- une phase de signature au cours de laquelle un menibre de la liste genere et 
emet une signature propre aux membres de la liste, cette signature &ant 
construite de maniere a contenir une preuve que le membre de la liste ayant 
emis la signature, connait un certificat de membre de la liste, et 

5 - une phase de verification de la signature emise comprenant des etapes 
d'application d'un algorithme pn§defini pour mettre en evidence la preuve 
que la signature a 6t6 emise par une personne en possession d'un certificat de 
membre de la liste. 

1 0 Selon F invention, ce proc6d£ comprend en outre : 

- une phase de definition d'une sequence consistant pour Fautorite de 
confiance a generer un numero de sequence a utiliser dans la phase de 
signature, une signature generee durant la phase de signature comprenant un 

15 element de signature qui est commun a toutes les signatures emises par un 
meme membre de la liste avec un meme numero de sequence et qui contient 
une preuve que le numero de sequence a ete utilise pour generer la signature, 
la phase de verification comprenant en outre une etape de verification de la 
preuve que le numero de sequence a <§te utilise pour generer la signature; 

20 - une phase de revocation d'un membre de la liste pour retirer un membre de la 
liste, au cours de laquelle Fautorite de confiance retire de la liste le membre a 
retirer et met a jour les parametres de mise en ceuvre de la signature 
electronique anonyme, pour tenir compte du retrait du membre de la liste; et 

- une phase de mise a jour des certificats des membres de la liste pour tenir 
25 compte de modifications de la composition de la liste. 

Selon un mode de realisation de F invention, la phase d' organisation comprend 
la definition d'un parametre commun dependant de la composition de la liste, la 
phase d'enregistrement d'une personne dans la liste comprenant la definition 

30 d'un parametre propre a la personne a enregistrer qui est calcule en fonction du 
parametre dependant de la composition de la liste et qui est integre au certificat 
remis a la personne, la phase d'enregistrement comprenant une etape de mise a 
jour du parametre commun dependant de la composition de la liste, la phase de 
revocation d'un membre de la liste comprenant une etape de modification du 

35 parametre commun dependant de la composition de la liste, pour tenir compte 
du retrait du membre de la liste, et la phase de mise a jour des certificats des 
membres de la liste comportant une etape de mise a jour du parametre propre a 
chaque membre de la liste pour tenir compte des modifications de la 
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composition de la liste. 

Selon un mode de realisation de Pinvention, une signature propre k un membre 
de la liste et poss£dant le certificat [Ai, ej comprend des parametres T u T 2 , T 3 
5 tels que : 

T^Aib* (modn), 
^-g^modn), 
T 3 = geih® (mod n), 

co etant un nombre choisi aieatoirement lors de la phase de signature, et b, g, h 
10 et n etant des parametres generaux de mise en ceuvre de la signature de groupe, 
tels que les parametres b, g et h ne peuvent pas se deduire les uns des autres par 
des fonctions d'eievation de puissance entiere modulo n, de sorte que le nombre 
A b et done P identity du membre de la liste possedant le certificat [Ai, ej ne peut 
pas se deduire d'une signature emise par le membre. 

15 

De preference, le numero d'une sequence utilise pour g&ierer une signature de 
liste est calcule en fonction d'une date de debut de sequence. 

Avantageusement, la fonction de calcul du numero d'une sequence est de la 
20 forme : 

F(d) = (H(d)) 2 (modn) 
dans laquelle H est une fonction de hachage resistante aux collisions, d est la 
date de debut de la sequence, et n est un parametre general de mise en ceuvre de 
la signature de groupe. 

25 

Selon un mode de realisation de P invention, une signature emise par un 
membre de la liste contient un parametre qui est calcule en fonction du numero 
de sequence et de la cle privee du membre signataire. 

30 Selon un mode de realisation de Pinvention, le parametre T 4 d'une signature 
emise par un membre de la liste et dependant du numero de sequence m et de la 
cie privee Xi du membre signataire est obtenu par la formule suivante : 
T 4 = m xi (mod n) 

n etant un parametre general de mise en ceuvre de la signature de groupe, et la 
35 signature comprenant la preuve que le parametre T 4 a 6t6 calcule avec la cl£ 
privee Xi du membre de la liste qui a emis la signature. 



L' invention conceme egalement un proced£ de vote electronique comprenant 
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une phase d'organisation des elections, au cours de laquelle une autoritS 
organisatrice procede h la generation de paramdtres nScessaires a un scrutin, et 
attribue a des scrutateurs des cles leur permettant de dechiffrer et verifier des 
bulletins de vote, une phase d' attribution d'un droit de signature a chacun des 
5 eiecteurs, une phase de vote au cours de laquelle les eiecteurs signent un 
bulletin de vote, et une phase de depouillement au cours de laquelle les 
scrutateurs vfrifient les bulletins de vote, et caleulent le r^sultat du scrutin en 
fonction du contenu des bulletins de vote d^chiffres et valides. 
Selon P invention, ce procede met en ceuvre un procede de signature de liste tel 
10 que defini ci-avant, pour signer les bulletins de vote, chaque eiecteur etant 
enregistre comme membre d'une liste, et un numero de sequence etant genere 
pour le scrutin, pour detecter si un mSme electeur a emis ou non plusieurs 
bulletins de vote pour le scrutin. 

15 Selon un mode de realisation de Pinvention, la phase d' organisation comprend 
la remise a chaque scrutateur d'une cle publique et d'une cle priv6e, les 
bulletins de vote etant chififres a Paide d'une cte publique obtenue par le produit 
des cles publiques respectives de tous les scrutateurs, et la cl6 privee de 
dechiffrement correspondante etant obtenue en calculant la somme de cles 

20 privees respectives de tous les scrutateurs. 

Avantageusement, le chiffrement des bulletins de vote est effectue a Paide d'un 
algorithme de chif&ement probabiliste. 

25 Selon un mode de realisation de Pinvention, les bulletins de vote emis par les 
electeurs sont stockes dans une base de donn^es publique, le r6sultat de la 
verification et du depouillement de chaque bulletin de vote £tant stocke dans la 
base de donn^es en association avec le bulletin de vote, et la cle priv6e de 
dechiffrement des bulletins de vote etant publi^e. 

30 

Un mode de realisation prefere de Tinvention sera decrit ci-apr&s, a titre 
d'exemple non limitatif, avec reference aux dessins annexes dans lesquels : 

La figure 1 repr6sente un systeme permettant la mise en ceuvre des 
35 procedes de signature de liste et de vote electronique, selon 

Pinvention ; 
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Les figures 2 a 8 illustrent sous la forme d'organigrammes les 
differentes procedures qui sont executees conform6ment aux 
proc6d6s de signature de liste et de vote electronique, selon 
T invention. 

5 La presente invention propose un procede de signature de liste dans lequel 
toutes les personnes autorisees, c'est-a-dire appartenant a la liste, peuvent 
produire une signature qui est anonyme, et n'importe qui est capable de verifier 
la validite de la signature sans avoir acces a 1' identity du membre de la liste qui 
a signe. 

10 

Un tel procede peut Stre mis en ceuvre dans le systeme repr6sent6 sur la figure 
1. Ce systeme comprend des terminaux 2 mis a la disposition des utilisateurs et 
connectes a un reseau de transmission 5 de donnees numeriques, tel que le 
reseau Internet. Chaque terminal 2 est avantageusement connects a un lecteur 8 
15 de carte a puce 7. Par le reseau 5, les utilisateurs peuvent se connecter a un 
serveur 6 dormant acces a des informations par exemple stock6es dans une base 
de donnees 4. Ce systeme comprend egalement un calculateur 1 d'une autorite 
de confiance qui deiivre notamment les cartes a puces 7 aux utilisateurs. 

20 Le procede de signature de liste selon l'invention reprend dans le procede de 
signature de groupe decrit dans le document reference [1], les procedures 
suivantes : 

- une procedure d' organisation d'une d'un groupe de signataires, qui consiste a 
25 mettre en place les differents parametres et cles publiques n^cessaires, 

- une procedure d'enregistrement dans laquelle une personne a inscrire dans le 
groupe recoit d'une autorit6 de confiance un droit de signature, c'est-a-dire 
une cle priv6e et un certificat autorises, 

- une procedure de signature proprement dite au cours de laquelle une 
30 personne poss&iant un droit de signature signe un message, et 

- une procedure de verification consistant a appliquer un algorithme de 
verification a une signature pour verifier que la signature a ete produite par 
une personne possedant un droit de signature. 



35 



L'invention prevoit en outre une disposition pour garantir l'anonymat d'un 
signataire, meme vis-a-vis d^une autorite de confiance, ainsi qu'une procedure 
d' organisation d'une sequence consistant a definir un numero de sequence a 
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utiliser pour generer des signatures de liste, la verification d'une signature 
comprenant en outre une etape de verification que la signature est unique pour 
un numero de sequence donn6. 

5 Le proced<§ selon l'invention peut egalement comporter une procedure de 
revocation, telle que definie dans le document r6ference [2]. A l'aide de cette 
procedure de revocation, une autorite de confiance peut retirer a un membre de 
la liste, les droits de signature qu'elle lui a precedemment attribues, a partir de 
l'identite du membre. La mise en place de cette possibility de revocation 

1 0 implique l'execution par les membres de la liste d'une procedure de mise a jour 
au cours de laquelle les membres de la liste mettent a jour leurs certificats pour 
prendre en compte les modifications (ajout ou retraits) effectuees dans la liste 
des personnes autorisees a signer. 

15 La figure 2 illustre les differentes etapes de la procedure d' organisation 10 
executee sur le calculateur 1 de 1' autorite de confiance. 

Conformement au document reference [1], cette procedure consiste a choisir 11 
des nombres entiers suivants : 

20 - 8>l,k, l p , 

- Xi, X, 2 , yi, 72 qui sont des longueurs de nombres entiers en nombres de bits, 
avec : 

X 2 >41 p W 
A-i>s(X 2 + k) + 2 ( 2 ) 

25 y 2 > A,i + 2 ( 3 ) 

yi>s(y 2 + k) + 2 ( 4 ) 
et a definir les ensembles de nombres entiers suivants : 
A = ]2 Xl -2 X2 ,2 Xl +2 X2 [et 
r = ]2 Y1 -2 Y2 ,2 Y1 + 2 Y2 [. 

30 

Cette procedure consiste egalement a choisir une fonction de hachage resistante 
aux collisions H telle qu'une sequence binaire de longueur quelconque notee 
{0, 1>* est transformee en une sequence binaire de longueur k not6e {0, 1} . 

35 Ensuite, le calculateur 1 de l'autorite de confiance g6nere aleatoirement, a 
l'etape 12, des nombres premiers p' et q' de taille l p , tels que p = 2p' + 1 et q = 
2q' + 1 sont aussi des nombres premiers. Ensuite, il calcule a l'etape 13 le 
module n = pq et genere al6atoirement a l'etape 14 des nombres entiers a, ao, b, 
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g et h dans l'ensemble QR(n) des r6sidus quadratiques de n, c'est-a-dire 
F ensemble des nombres entiers y tels y = x 2 (mod n), x 6tant un nombre entier. 
On considere alors que la cl6 publique PK de l'autorite de confiance est 
constituee de la sequence de nombres entiers (n, a, a<>, b, g, h) et que la cle 
5 privee de celle-ci est constitute de la s6quence de nombres entiers (p\ q'). 

Pour etre enregistrS par l'autorit6 de confiance, un utilisateur souhaitant devenir 
membre de la liste execute sur son terminal 2 la procedure 20 illustree sur la 
figure 3. L' execution de cette procedure engage un dialogue avec le calculateur 
10 1 de l'autorit6 de confiance qui ex6cute alors une procedure 20'. La procedure 
20 comprend tout d'abord une &ape 21 de generation aleatoire de nombres 
entiers xi et r , respectivement dans les intervalles ]0, 2 Xl [ et ]0, n 2 [. A partir de 
ces nombres entiers, on calcule 22 un nombre entier Ci tel que : 

C^g^h^modn) (5) 

15 A l'etape 23, on construit la preuve U de la connaissance de deux nombres a et 
p (c'est-a-dire Xj et r ) tels que C x = g a h p (mod n). 

Une telle preuve est par exemple constituee en choisissant aleatoirement deux 
nombres entiers ri et r 2 dans l'ensemble des nombres binaires signes a s(21 p + k) 
20 bits, not6 ±{0, 1 } e(21 p +k >, e t en calculant les nombres suivants : 

d^g^Cmodn), ( 6 > 
c = //(g||h||C 1 ||d l ), (7) 

dans laquelle le symbole || represente l'op6rateur de concatenation, 

si = ri — ca, (8) 
25 s 2 = r 2 - cp. (9) 

si et s 2 etant des nombres entiers relatifs. 

La preuve U est alors egale a (c, Si, s 2 , CI). 

Le nombre Ci et la preuve U sont ensuite envoyes a l'autorite de confiance qui 
30 verifie a l'6tape 21' la preuve U et que Q se trouve dans l'ensemble QR(n) des 
r6sidus quadratiques de n. 

Dans 1' exemple precedent, la verification de la preuve U consiste a calculer : 
t^cfgVVodnhet (10) 

c'-flfeiNCilIti). («) 



35 



La preuve est verifiee si c' = c et si s x et s 2 appartiennent a l'ensemble 
+{0, l}^ 1 . 
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Si tel est le cas, le calculateur 1 de l'autorite de confiance genere aleatoirement 
22' deux nombres entiers 04, pi dans l'intervalle ]0, 2 Xl [, et envoie ces nombres 
au terminal 2 de l'utilisateur. Dans la procedure 20, le terminal de l'utilisateur 
5 calcule alors a l'etape 24 les nombres entiers x } et C 2 en appliquant les formules 
suivantes : 

x i =2 Xl +(o i x i +p i (mod2^)), et (12) 
C2=a Xi (modn). (13) 

1 0 Puis, il construit a l'etape 25 les preuves suivantes (par exemple selon le mSme 
principe que la preuve U) : 

- la preuve V de connaitre un nombre a appartenant a I'ensemble A tel que : 
C 2 = a a (modn) (14) 



15 



- la preuve W de connaitre trois nombres p, y, 5 tels que p e ]- 2 Xz , 2 X \ et 

C 2 /a X2 = a p et (15) 

cft^gVV (i6) 



20 C 2 et les preuves V et W sont ensuite envoyes au calculateur 1 de l'autorite de 
confiance qui verifie 23' les preuves V et W, et que C 2 appartient a I'ensemble 
QR(n). Si tel est le cas, il genere 24' ateatoirement un nombre premier e { 
appartenant a I'ensemble T et applique la formule suivante : 

Ai =(C2a 0 ) 1/ei (modn) (17) 

25 et renvoie a l'utilisateur les entiers Ai et e t consideres comme un certificat 
[Aj, eO d'appartenance de 1'utilisateur a la liste. 

Le calculateur 1 cree 26' alors une nouvelle entree dans une table des membres 
de la liste, par exemple dans la base de donnees 4, dans laquelle il memorise le 
certificat [A;, ej en vue de modifications de la liste (par exemple revocations de 
30 membres), et de preference les messages echanges entre Tautorite de confiance 
et l'utilisateur durant cette procedure d'enregistrement de l'utilisateur. 



Par ailleurs, l'utilisateur peut contrdler 26 l'authenticite du certificat recu en 
vdrifiant que Pequation suivante est satisfaite : 
35 a Xi a 0 =Ai i (modn) (18) 
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A la fin de cette proc6dure d'enregistrement 20, l'utilisateur dispose done d'une 
cle privee Xi et d'un certificat [Ai, ej de membre de la liste, qui sont par 
exemple memoris6s dans une carte a puce 7. 
5 A Paide d'un tel certificat, l'utilisateur peut generer une signature d'un message 
M appartenant a 1' ensemble {0, 1}*. 

A cet effet, l'autorite de confiance publie selon l'invention un numero m de 
sequence, choisi aleatoirement dans l'ensemble QR(n). Ce numero devra etre 
utilise par les membres de la liste pour signer un message durant une sequence 

1 0 donnee. Les numeros respectifs de sequences differentes ne doivent pas pouvoir 
Stre lies. En particulier, il doit 6tre impossible de calculer un logarithme discret 
d'un numero de sequence donn6, par rapport a la base d'un autre numero de 
s6quence, e'est-a-dire qu'il ne doit pas Stre possible en pratique de calculer des 
nombres entiers x et y tels que : m x = m' y (mod n), m et m' etant des numeros 

15 de sequence. 

Ce numero m de s6quence peut §tre calcule en fonction de la date de debut de la 
sequence : m = F(date). Cette fonction F est par exemple choisie egale a : 

F(d) = (iT(d)) 2 (modn) (19) 
20 dans laquelle IT une fonction de hachage resistante aux collisions, telle qu'une 
sequence binaire de longueur quelconque notee {0, 1}* est transformee en une 
sequence binaire de longueur 21 p notee {0, 1} 21 p. II est done facile de verifier la 
validite du numero de s6quence en appliquant la formule (19). 

25 La procedure de signature d'un message est concue pour permettre notamment 
a un utilisateur de demontrer qu'il connait un certificat de membre et une cle 
privee de membre et qu'il utilise le bon numero de sequence. 
Pour signer un message M, un membre de la liste doit executer, par exemple sur 
sa carte a puce 7 connectee a un terminal 2 et memorisant son certificat [A is ej 

30 et sa cle privee x b une procedure 30 de signature, illustree sur la figure 4. Cette 
procedure comprend tout d'abord une etape 31 de g6neration aleatoire d'un 

21 

nombre go appartenant a l'ensemble {0, 1 } p. 

Elle comprend en outre une 6tape 32 consistant a calculer les nombres suivants 



a partir de co : 

35 T^Aib^modn), (20) 

T 2 = g a) (modn), (21) 

T 3 = g ei h a> (modn). (22) 
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Conformement a l'invention, on calcule egalement le nombre suivant 
T 4 = m Xi (mod n) 



(23) 



A l'etape 33 suivante, on genere d'une maniere aleatoire les nombres ri dans 
1* ensemble des nombres binaires signes a s(y 2 +k) bits, note ±{0, l} e( ^ +k) , r 2 dans 
l'ensemble ±{0, r 3 dans l'ensemble ±{0, l } 6 ^i +2, p +k+1 > et r 4 dans 

l'ensemble ±{0, l}* 2 ^. Puis, a l'etape 34, on calcule les grandeurs suivantes : 

d^T^/Ca^Xmodn) 

d 2 = T 2 r Vg r3 (modn) 



10 d 3 = g r4 (modn) 

d 4 = g ri h r4 (modn) 
Conformement a l'invention, on calcule egalement le nombre suivant : 
d 5 = m r2 (mod n) 

1 5 Puis, a l'etape 35, on calcule les nombres suivants : 

c = J fir(m||b||g||h||ao||a«T 1 ||T 2 l|T3||T4||d 1 ||d 2 ||d 3 |d4||d 5 ||M), 
dans laquelle || represente 1' operation de concatenation, 

s 1 =r 1 -c(e i -2 Yl ), 
20 s 2 = r 2 -c(xi-2 M ), 

s 3 = r 3 - ce ; co, 
s 4 = r 2 - ceo, 
Si, s 2 , s 3 , s 4 etant des nombres entiers relatifs. 

25 La signature est enfin constituee de l'ensemble de nombres suivants : 
(c, Si, s 2 , s 3 , s 4 , Ti, T 2 , T 3 , T 4 ). 
qui est par exemple emise par le reseau 5. 



(24) 
(25) 
(26) 
(27) 



(28) 



(29) 



(30) 
(3D 
(32) 
(33) 



(34) 



La verification d'une signature d'un message M se deroule en executant la 
30 procedure 40 illustree sur la figure 5. Cette procedure comprend tout d'abord a 
l'6tape 41, le calcul des nombres suivants : 

c S[-c2 



tl =aoTi" ~ ^"^'^^(modn) 



t 2 =T2~° 2 /g Si (modn) 
t 3 =T 2 c g S4 (modn) 



(35) 

(36) 
(37) 
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t 4 =T 3 c g Sl " C2l h S4 (modn) (38) 



Selon T invention, elle comprend 6galement le calcul des nombres suivants : 



t 5 =T> 2 (modn) (39) 

5 c'= #(m||b||g||h||^ (40) 

La signature est authentique si les conditions suivantes sont verifiees a Petape 
42: 

c'=c (41) 

10 Sl g ±{0, (42) 

s 2 e±{0,l} e( ^ +k)+1 , (43) 

s 3 e±{0 5 l} E(Y1+2l P +ltfl)+1 , (44) 

s 4 e±{0,l} 8(2! P +k>+1 . (45) 



Si ces conditions ne sont pas verifiees, la signature n'est pas valable (etape 45). 

15 

En outre, en accedant a toutes les signatures qui ont ete produites pendant une 
sequence donn^e, par exemple dans la base de donnees 4, on peut verifier 
facilement a Petape 43, k Paide du parametre T 4 , si un membre de la liste a 
signe plusieurs fois : toutes les signatures emises par un membre de la liste 
20 comprennent un parametre T 4 ayant la meme valeur pour un numero de 
sequence donne. 

II est en outre a noter qu'un membre ne peut pas tricher en utilisant une autre 
valeur car T 4 est fortement lie a TV En effet, la formule de calcul de Ti peut 
aussi 6tre ecrite de la maniere suivante : 
25 if* = aoaV^modn) (46) 

Si T 4 se trouve dej& dans P ensemble des signatures emises pour un numero de 
sequence donne, on en deduit que la signature a deja ete emise par un membre 
de la liste pour ce numero de sequence (6tape 46). 

30 

Pour inclure une possibility de revocation d'un membre de la liste, le procede 
qui vient d'etre decrit peut etre modifi6 de la maniere suivante. 



35 



La procedure d' organisation 10 de la liste comprend en outre k P6tape 14, le 
choix al6atoire d'un nombre u appartenant a P ensemble QR(n), et la definition 
de deux ensembles E a dd et E de i qui sont initialement vides. 
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La cle publique PK de l'autorite de confiance est alors constitute de la s6quence 
de nombres entiers (n, a, a©, b, g, h, u) et des ensembles Eadd et E de i. 

Durant la procedure d'enregistrement 20, 20% le calculateur 1 de l'autorite de 
5 confiance attribue a l'etape 25' le parametre uj au nouveau membre Ui de la 
liste, ce parametre etant tel que Ui = u, et met a jour la valeur du parametre u en 
remplacant cette valeur par u 6 *. 

Le certificat du nouveau membre regroupe alors les entiers A } , ei et u b ce 
10 certificat etant memorise a l'etape 26' pour des modifications futures et 
transmis au nouveau membre. 

L'autorite de confiance introduit egalement le nombre e } attribue au nouveau 
membre dans 1' ensemble E a dd- 

15 A la reception de son certificat, le nouveau membre verifie en outre que : 

Ui ei = u (modn) < 47) 

Les autres membres Uj de la liste doivent alors executer une procedure de mise 
a jour pour prendre en compte l'arrivee du nouveau membre et done la 
20 modification du parametre de liste u. Cette procedure consiste a recalculer leur 
parametre uj de la maniere suivante : 

Uj = uj ei (modn) ( 48) 

De cette maniere, la relation (47) est toujours verifiee pour tous les couples (u j5 
25 ej) de tous les membres de la liste. 

La procedure de revocation d'un membre U k de la liste dont le certificat est (Ak, 
ek, Uk) consiste. pour l'autorite de confiance a modifier le parametre u de la 
maniere suivante : 

30 u = u^ (mo dn) ( 49 > 

et a introduire le parametre ek dans 1' ensemble E de i. 

En outre, chaque membre non revoque Uj de la liste doit prendre en compte 
cette revocation (changement du parametre u) en recalculant son parametre uj 
35 de la maniere suivante : 

Uj = u j b u(modn) (50) 



a et b etant tels que aej + be k = 1 
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Pour determiner a et b, il suffit d'appliquer l'algorithme d'Euclide elendu 
consistant a effectuer une serie de divisions euclidiennes. 

II est a noter que le membre revoque (possedant e0 ne peut pas determiner a et 
5 b a l'aide de la formule (50) qui devient e^a + b) = 1, et done recalculer le 
parametre u k . 

Durant la procedure 30 de signature par un membre de la liste, il faut en outre a 
l'&ape 31 choisir aleatoirement des nombres wi, w 2 et w 3 de longueur binaire 
10 egale a 21 p , e'est-a-dire appartenant a l'ensemble {0, 1} 2, p, et calculer a l'6tape 
32 les nombres suivants : 

T 5 = g ei h w, (modn) ( 51 ) 

T 6 =Uih W2 (modn) (52) 

T 7 = g W2 h W3 (modn) (53) 

15 

II faut aussi a l'etape 33 choisir aleatoirement des nombres r 5 , r 6 , r 7 appartenant 
a l'ensemble ±{0, l} e < 21 p +k) et des nombres r 8 et r 9 appartenant a l'ensemble ±{0, 
^eta+aip-Hcfn puis ca i cu ier a l'etape 34 les nombres suivants : 

d6 = g ri h r Vodn) (54) 
20 d 7 = g r6 h r7 (modn) ( 55 > 

d 6 = T 6 ri /h r8 (modn) (5 6 ) 

d 9 = T 7 r V(g r8 h r9 )(modn) ( 57 > 

Le nombre c inclut alors les elements suivants : 
25 c = if(m||b||g||h||ao||^ ( 58 ) 

II faut encore calculer a l'etape 35 : 

s 5 = r 5 — cwi (59) 

s 6 = r 6 -cw 2 ( 6 °) 

30 s 7 = r 7 -cw 3 ( 61 ) 

s 8 = r 8 - cei\v 2 ( 62 ) 

s 9 = r 9 - cejW 3 ( 63 ) 



La signature est alors constituee de l'ensemble de nombres suivants : 
35 (c, si, s 2 , s 3 , s 4 , s 5 , s 6 , s 7 , s 8 , s 9 , Ti, T2, T 3 , T 4> T 5 , T 6 , T 7 ). (64) 
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La procedure 40 de verification d'une signature comprend alors en, outre le 
calcul des nombres suivants a Petape 41 : 



t 6 =T 5 C g Sl " C2Tl li S5 (modn) (65) 

5 t^gV^modn) (66) 

t 8 =u C T^g Sl - c2n /h S8 (modn) (67) 

t 9 =T^ 2 \gV 9 )(modn) (68) 

c'=tf(m||b!|g||hl|a^ (69) 

10 La signature est authentique si les conditions supplementaires suivantes sont 
verifies a l'etape 42 : 

s 5 <=±{0,l} E(21 P +k)+1 , (70) 

s 6 e ±{0, l}* 21 p +k > +1 , (71) 

s 7 € ±{0, 1}*<W, (72) 

15 s 8e ±{0,l}^ +21 P 4fcfl)+1 et (73) 

s 9 e ±{0, iy*n"V*W (74) 



II est a noter que contrairement a la signature de groupe d6crite dans le 
document [1], il n'est pas possible pour l'autorite de confiance de retrouver 
20 l'identite d'un signataire, c'est-a-dire le nombre Ai du certificat du signataire a 
partir d'une signature de liste telle que decrite. En effet, contrairement au 
procede decrit dans ce document, l'autorit6 de confiance n'utUise pas une cl6 
privee x pour g6n6rer le parametre b, et done le nombre Ai ne peut pas etre 
deduitdeTietT 2 . 

25 

En outre, la signature generee par un membre revoque U k sera detectee invalide. 
En effet, le parametre T 6 fait intervenir le parametre u k qui a ete determine a 
partir du parametre commun u, et le parametre t 8 qui est calcule pour verifier la 
signature fait intervenir egalement le parametre u qui a ef e modifie a la suite de 
30 la revocation du membre k. II en resulte que, lors de la verification de signature, 
les parametres T 6 et t 8 sont incoherents, et done que l'egalite entre c et c' ne 
peut pas etre v6rifiee par la signature du membre k. 



Le procede de signature de liste qui vient d'etre decrit peut etre applique a un 
35 proced<5 de vote electronique. Le proced<§ de vote electronique selon 1' invention 
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comprend plusieurs phases dont l'execution des procedures du procede de 
signature de liste decrit ci-avant 

Ce procede implique 1' intervention d'une autorit6 de confiance 1 organisatrice 
5 des elections qui execute a cet effet une proc6dure 50 d' organisation du scrutin. 
Cette procedure consiste a generer les donnees necessaires au bon deroulement 
des elections, une base de donnees publique accessible a tous dans laquelle sont 
recueillis les bulletins de vote. Au cours de Torganisation du scrutin, on designe 
egalement des scrutateurs qui vont depouiller les votes et determiner le resultat 
10 del' election. 

L'autorite organisatrice procede tout d'abord a la generation des differents 
parametres necessaires a la mise en place d'une signature de liste, en executant 
la procedure 10 d' organisation d'une signature de liste. Les electeurs doivent 

15 ensuite prealablement s'inscrire, par exemple dans une mairie, sur une liste 
electorate de maniere a recevoir toutes les donnees necessaires, a savoir une cle 
priv6e x 5 et un certificat (A i} e i5 uO, pour generer une signature de liste. A l'aide 
de ces parametres, les electeurs peuvent participer a toutes les elections futures. 
Cette procedure description peut par exemple etre executee entre une carte a 

20 puce 7 et un terminal 2, la carte a puce memorisant a la fin de la procedure le 
certificat de l'electeur. 

Avant une election, l'autorite organisatrice procede a la mise a jour des listes 
electorates en executant la procedure 20, 20' pour les electeurs nouvellement 

25 inscrits, et en enlevant (revoquant) les droits de signature de liste a toutes les 
personnes rayees des registres electoraux (par exemple les personnes ayant 
quitte la circonscription ou dechues de leurs droits civiques). Ces revocations 
sont realisees en executant la procedure de revocation decrite ci-avant. A l'etape 
51 de la procedure 50, l'autorite organisatrice publie egalement un numero de 

30 sequence m necessaire a la mise en place d'une nouvelle sequence de signature 
de liste, de maniere a empScher les 61ecteurs de voter (signer) deux fois a cette 
election. 

Par ailleurs, les scrutateurs vont creer 52 les paires de cles publiques/privees 
35 necessaires, de telle sorte qu'ils doivent tous cooperer pour pouvoir dechiffrer 
un message chiffre avec la cl6 publique. A cet effet, le systeme cryptographique 
mis en place est choisi de maniere a permettre k un 61ecteur de chiffrer un 
message (bulletin de vote) a l'aide d'au moins une cle publique, tout en 
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imposant la cooperation de tous les scrutateurs pour utiliser la ou les cl6s 
privies correspondantes, et ainsi decliiffrer le message. 

Le partage de la cle privee de d6chifrrement entre tous les scrutateurs peut etre 
5 effectue de la maniere suivante. 

On considere g un generateur du groupe cyclique G. Une cle privee x 5 

respective est attribuee a chaque scrutateur i qui calcule le nombre y { 
appartenant a G tel que : 
10 yi = g Xi < 75 > 

La cle publique Y a utiliser par les electeurs est obtenue par la formule 
suivante : 

Y =r[yi (76) 

i 

15 et la cle privee X correspondante partagee par tous les scrutateurs i est la 
suivante : 

X=Sx, (77) 
i 

On peut arriver a un resultat analogue en procedant a un chiffrement en utilisant 
20 toutes les cles publiques respectives des scrutateurs. Le dechiffrement 
n6cessitant la connaissance de toutes les cles privees correspondantes. 

Avant d'aller voter, chaque electeur doit mettre a jour son certificat de signature 
de liste conformement a la procedure de modification decrite ci-avant, a l'aide 
25 des parametres publies precedemment Si reiecteur n'est pas radie des listes 
electorales, cette modification peut Stre effectuee. 

Pendant l'ouverture des bureaux de vote, chaque electeur emet un bulletin de 
vote en executant sur un terminal une procedure 60. A Petape 61, l'electeur 
30 selectionne son vote Vj et chiffre celui-ci a l'aide de la cle publique des 
scrutateurs pour obtenir un vote chiffre Di. Puis il signe le vote chiffre a l'aide 
du proc6de de signature de liste pour obtenir une signature Si. Le bulletin de 
vote constitue de l'ensemble (Di, SO du vote et de la signature, est ensuite 
public de maniere anonyme dans une base de donnees publique 4. 



35 



A l'etape 62, le chiffrement du vote est r6alise en utilisant un algorithme de 
chiffrement probabiliste (c'est-a-dire que la probabilite que deux chiffrements 
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d'un meme message soient identiques est quasiment nulle), tel que par exemple 
l'algorithme de El Gamal ou de Paillier. Si on applique l'algorithme de El 
Gamal, le chiffrement est effectu6 en calculant les nombres suivants : 



5 dans lesquels r est un element aleatoire. Le vote vj chiffre est alors constitue par 
le couple Dj = (aj,bj). L'electeur Ej calcule 63 ensuite la signature de liste du 
vote chiffre Sj = Sig, iste (aj||bj), Sigi iste etant la signature de liste telle que decrite 
ci-avant, en executant la procedure 30 par sa carte a puce 7, laquelle est 
transmise au terminal 2. 
1 0 L'electeur Ej a ainsi genere son bulletin de vote (Dj, Sj) qu'il envoie 64 a la base 
de donnees publique 4 au moyen d'un canal de transmission anonyme, c'est-a- 
dire interdisant de relier un message transmis a l'emetteur de celui-ci. 
L'electeur peut a cet effet utiliser un terminal public ou un reseau de 
melangeurs. 



A la fin du scrutin, les scrutateurs effectuent le depouillement du scrutin en 
executant la procedure 70 sur le terminal 3. Cette procedure consiste tout 
d'abord a g6nerer 71 la cl6 privee de dechiffrement X a partir de leurs cl6s 
privees respectives Xi et a l'aide de la formule (77). Puis, a l'etape 72, ils 
20 accedent a la base de donnees publique 4 des bulletins de vote pour obtenir les 
bulletins de vote (Di, SO et pour les dechiffrer. 

Le decbiffrement proprement dit des bulletins de vote consiste pour chaque 
bulletin de vote ends (etape 73) a verifier 74 la signature Si en executant la 
procedure 40 de verification de signature de liste decrite ci-avant, et si la 
25 signature est valable et unique (etape 75), a dechiffrer 76 le vote chiffre Dj en 
appliquant la formule suivante : 

v j = a j /b j x (79) 

Les votes vj ainsi dechiffres et verifies, avec le resultat de la verification 
30 correspondante sont introduits 77 dans la base de donnees 4 des bulletins de 
vote, en association avec le bulletin de vote (Dj, Sj). 

La cle privee de dechiffrement X est egalement publiee pour permettre a tous de 
v6rifier le depouillement des bulletins de vote. 

35 Une fois que tous les bulletins de vote ont et6 depouilles, cette procedure 70 
calcule a 1' etape 78 le r6sultat de l'election et met a jour la base de donnees 
publique des bulletins de vote en y inscrivant ce resultat, et eventuellement la 
cle privee de dechiffrement X. 



a, = v j Y r etb j = ^ 



(78) 
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II est aise de constater que les proprieties enoncees ci-avant, necessaires a la 
mise en place d'un systeme de vote electronique, sont verifiees par le proc^de 
d£crit ci-dessus. En effet, chaque electeur ne peut voter qu'une seule fois 
5 puisqu'il est facile de retrouver dans la base de donnees deux signatures emises 
par un meme electeur pour un meme scrutin (pour un meme numero de 
sequence). Dans ce cas, les scrutateurs peuvent ne pas prendre en compte les 
deux votes ou ne comptabiliser qu'un seul vote s'ils sont identiques. 
Altemativement, on peut prevoir qu'a l'etape 64 d'insertion d'un vote dans la 
10 base de donnees 4, on verifie que le vote emis par l'electeur ne figure pas deja 
dans la base de donnees en y recherchant le paramdtre T 4 propre a l'electeur. Si 
on detecte ainsi que l'electeur a deja vote pour ce scrutin, le nouveau vote n'est 
pas ins£r6 dans la base de donnees 4. 

15 Ensuite, il n'est pas possible de commencer a depouiller les bulletins de vote 
avant la fin du scrutin si au moins un des scrutateurs respecte la regie, puisqu'il 
faut la presence de tous les scrutateurs pour depouiller un bulletin de vote. 
Enfin, le resultat de 1' election est verifiable par tous puisque les scrutateurs 
fournissent dans la base de donnees tous les elements necessaires (en particulier 

20 la cle privee de depouillement) pour proc^der a une telle verification, et que la 
verification d'une signature est accessible a tous en utilisant la cl6 publique 
PK=(n, a, a 0 , b, g, h, u) de Pautorite de confiance. Ainsi n'importe qui peut 
effectuer le depouillement de la meme maniere que les scrutateurs et done 
s'assurer qu'il a ete effectue de maniere correcte. 

25 

Les cles des scrutateurs sont bien entendu obsoletes a la fin du scrutin, 
puisqu'elles sont publiees. 
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REVENDICATIONS 



1 . Procede de signature de liste comprenant au moins : 

- une phase d' organisation (10) consistant pour une autorite de conflance (1) a 
5 definir des parametres de mise en oeuvre d'une signature electronique 

anonyme, dont une cle privee et une cl6 publique correspondante, 

- une phase d'enregistrement (20, 20') de personnes dans une liste de membres 
autorises a generer une signature electronique propre aux membres de la 
liste, au cours de laquelle chaque personne (2) a enregistrer calcule (24) une 

10 cl6 privee (x { ) a l'aide de parametres founds par 1' autorite de confiance et de 
parametres choisis aleatoirement par la personne a enregistrer, et 1' autorite de 
confiance delivre (25') a chaque personne a enregistrer un certificat ([A i9 ej) 
de membre de la liste, 

- une phase de signature (30) au cours de laquelle un membre de la liste genere 
15 (35) et emet (36) une signature propre aux membres de la liste, cette 

signature etant construite de maniere a contenir une preuve que le membre de 
la liste ayant emis la signature, connait un certificat ([A is e^) de membre de 
la liste, et 

- une phase de verification (40) de la signature emise comprenant des Stapes 
20 (41, 42) d' application d'un algorithme predefini pour mettre en evidence la 

preuve que la signature a 6t6 emise par une personne en possession d'un 
certificat de membre de la liste, 
caracterise en ce qu'il comprend en outre : 

- une phase de definition d'une sequence consistant pour 1' autorite de 
25 confiance (1) a generer un numero de sequence (m) a utiliser dans la phase 

de signature (30), une signature (Sig liste ) generee durant la phase de signature 
comprenant un element de signature (T 4 ) qui est commun a toutes les 
signatures emises par un meme membre de la liste avec un meme numero de 
sequence et qui contient une preuve que le numero de sequence (m) a ete 
30 utilise pour generer la signature, la phase de verification (40) comprenant en 
outre une etape de verification (43) de la preuve que le numero de sequence 
(m) a ete utilis6 pour generer la signature ; 

- une phase de revocation d'un membre de la liste pour retirer un membre de la 
liste, au cours de laquelle l'autorite de confiance (1) retire de la liste le 

35 membre a retirer et met a jour les parametres de mise en oeuvre de la 
signature electronique anonyme, pour tenir compte du retrait du membre de 
la liste ; et 

- une phase de mise a jour des certificats ([A b ej) des membres de la liste pour 
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tenir compte de modifications de la composition de la liste. 



2. Proc6de selon la revendication 1, 
caracterise en ce que la phase d' organisation (10) comprend la definition d'un 
5 parametre commun (u) dependant de la composition de la liste, la phase 
d'enregistrement (20, 20') d'une personne dans la liste comprenant la definition 
d'un parametre (uO propre a la personne a enregistrer qui est calcule en fonction 
du parametre (u ) dependant de la composition de la liste et qui est integre au 
certificat ([A i5 e i? uj) remis a la personne, la phase d'enregistrement (20, 20') 

1 0 comprenant une etape de mise a jour du parametre commun (u) dependant de la 
composition de la liste, la phase de revocation d'un membre de la liste 
comprenant une etape de modification du parametre commun (u) dependant de 
la composition de la liste, pour tenir compte du retrait du membre de la liste, et 
la phase de mise a jour des certificats des membres de la liste comportant une 

1 5 etape de mise a jour du parametre (uO propre h chaque membre de la liste pour 
tenir compte des modifications de la composition de la liste. 



3. Procede selon la revendication 1 ou 2, 

caracterise en ce qu'une signature propre a un membre de la liste et possedant le 
20 certificat [A i? ej comprend des parametres Ti, T 2 , T 3 tels que : 
T^Aib" (modn), 
T 2 = g <D (modn), 
Ts^h^modn), 

© etant un nombre choisi aleatoirement lors de la phase de signature (30), et b, 
25 g, h et n etant des parametres generaux de mise en oeuvre de la signature de 
groupe, tels que les parametres b, g et h ne peuvent pas se deduire les uns des 
autres par des fonctions d' elevation de puissance entiere modulo n, de sorte que 
le nombre A t , et done l'identite du membre de la liste possedant le certificat [A b 
ej ne peut pas se deduire d'une signature emise par le membre. 

30 

4. Procede selon Tune des revendications 1 a 3, 

caracterise en ce que le numero (m) d'une sequence utilise pour generer une 
signature de liste est calcule en fonction d'une date de debut de sequence. 

35 5. Procede selon la revendication 4, 

caracterise en ce que la fonction de calcul du numero d'une sequence est de la 
forme : 

F(d) = (i^(d)) 2 (modn) 
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dans laquelle H est une fonction de hachage resistante aux collisions, d est la 
date de d6but de la sequence, et n est un parametre general de mise en oeuvre de 
la signature de groupe. 

5 6. Precede selon Tune des revendications 1 a 5, 

caracterise en ce qu'une signature (Sigii Ste ) emise par un membre de la liste 
contient un param&tre (T 4 ) qui est calcule en fonction du numero de sequence et 
de la cle privee (xO du membre signataire. 

10 7. Procede selon la revendication 6, 

caracterise en ce que le parametre T4 d'une signature 6mise par un membre de 
la liste et dependant du numero de sequence m et de la cle privee X[ du membre 
signataire est obtenu par la formule suivante : 
T 4 = m Xi (mod n) 

15 n etant un parametre general de mise en oeuvre de la signature de groupe, et en 
ce que la signature comprend la preuve que le parametre T 4 a 6t6 calcule avec la 
clS privee Xi du membre de la liste qui a 6mis la signature. 

8. Proc£d6 de vote electronique comprenant une phase 
20 d' organisation (50) des elections, au cours de laquelle une autorite organisatrice 

procede a la generation de parametres necessaires a un scrutin, et attribue a des 
scrutateurs des cles leur permettant de d^chiffrer et verifier des bulletins de 
vote, une phase d'attribution d'un droit de signature a chacun des £lecteurs, une 
phase de vote (60) au cours de laquelle les electeurs signent un bulletin de vote, 
25 et une phase de depouillement (70) au cours de laquelle les scrutateurs verifient 
les bulletins de vote, et calculent le resultat du scrutin en fonction du contenu 
des bulletins de vote dechiffres et valides, 

caracterise en ce qu'il met en oeuvre un procede de signature de liste selon Tune 
des revendications 1 a 7, pour signer les bulletins de vote, chaque electeur etant 
30 enregistre comme membre d'une liste, et un numero de sequence (m) etant 
genere pour le scrutin, pour detecter si un meme electeur a emis ou non 
plusieurs bulletins de vote pour le scrutin. 

9. Procede selon la revendication 8, 

35 caracterise en ce que la phase d' organisation (50) comprend la remise a chaque 
scrutateur d'une cle publique et d'une cle privee, en ce que les bulletins de vote 
(Vi) sont chiffres (62) a Paide d'une cle publique (Y) obtenue par le produit des 
cles publiques (yO respectives de tous les scrutateurs, et en ce que la cle privee 
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(X) de dechiffrement correspondante est obtenue en calculant la somme de cles 
privees (xO respectives de tous les scrutateurs. 

10. Proced6 selon la revendication 9, 

5 caracterise en ce que le chiffrement (62) des bulletins de vote est effectue a 
l'aide d'un algorithme de chiffirement probabiliste. 

11. Procede selon Tune des revendications 8 a 10, 

caracterise en ce que les bulletins de vote emis par les electeurs sont stockes 
10 dans une base de donnees publique (4), en ce que le resultat de la verification et 
du depouillement de chaque bulletin de vote est stocke dans la base de donnees 
en association avec le bulletin de vote, et en ce que la cle privee (X) de 
dechiffrement des bulletins de vote est publiee. 



15 
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